Nach Darstellung von Basic-Fit wurde der Angriff binnen weniger Minuten erkannt und gestoppt. Bis dahin seien jedoch bereits Daten heruntergeladen worden. „Die bisherige Untersuchung hat keine Hinweise darauf ergeben, dass die Daten irgendwo verfügbar sind oder missbraucht wurden", erklärte das Unternehmen.

Niederländischen Medienberichten zufolge richtete sich der Angriff gegen ein zentrales System, in dem Mitgliederdaten aus verschiedenen Ländern zusammenlaufen. Demnach waren Kundinnen und Kunden in Belgien, den Niederlanden, Luxemburg, Frankreich, Spanien und Deutschland betroffen. Insgesamt sollen die Daten von etwa einer Million Mitgliedern abgeflossen sein, davon rund 200.000 in den Niederlanden.

Zu den erbeuteten Informationen zählen laut Basic-Fit Namen, Adressen, Telefonnummern, E-Mail-Adressen, Geburtsdaten und Bankverbindungen sowie Daten zur Mitgliedschaft, etwa Abonnementnummern, Abonnementtypen und kürzlich erfolgte Studiobesuche. Passwörter und Ausweisdokumente seien dagegen nicht betroffen.

Das Unternehmen meldete den Vorfall der niederländischen Datenschutzbehörde und leitete eine Untersuchung ein, um zu klären, wie sich die Angreifer Zugang verschafften und wer dafür verantwortlich sein könnte. Betroffene Mitglieder wurden per E-Mail informiert und vor möglichen Phishing-Versuchen gewarnt; weitere Maßnahmen seien derzeit nicht erforderlich.

„Mit dieser Nachricht informieren wir Sie über einen unbefugten Download von Basic-Fit-Daten", heißt es in der Mail. Nutzerinnen und Nutzer in Spanien, Frankreich und den Niederlanden berichteten in sozialen Medien, ein solches Schreiben erhalten zu haben.

Basic-Fit gehört zu den größten Fitnessketten Europas und betreibt mehr als 2.150 Studios in zwölf Ländern mit rund fünf Millionen Mitgliedern.